Une actualité intense nous le rappelle : il est vraiment temps pour les entreprises de se préoccuper de la protection de leurs systèmes d’information et de leurs données.

Au-delà des incidences économiques et en termes de réputation que pourrait avoir une faille de sécurité (blocage de l’activité, perte ou fuite de données…), la responsabilité juridique des entreprises et de leurs dirigeants est conséquente.

Un texte qui fait en particulier parler de lui actuellement – vous en avez forcément entendu parler -, c’est le fameux règlement européen de protection des données qui répond au doux nom de « GDPR » ou, en français, RGPD, et qui va entrer en vigueur en mai 2018.

Il est vrai qu’il est emblématique, car, du fait des sanctions prévues en cas de non-respect, il va faire peser sur les entreprises un risque juridique non négligeable.

Tout milite en tous cas en droit français aujourd’hui pour encourager les dirigeants à réfléchir à leur politique de protection des données et surtout à mettre en œuvre sans plus attendre les mesures de protection qui s’imposent.

Je vous propose dans ce volet dédié à la protection de vos données de vous fixer quatre rendez-vous :

  • En semaines 1 et 2, nous situerons le cadre règlementaire et les nouveautés apportées par le RGPD
  • En semaines 3 et 4 je vous livrerai les premiers réflexes à avoir pour commencer votre démarche de protection des données.

La protection des données : suis-je concerné ?

Le RGPD prend la suite de la loi dite « Informatique et Libertés » du 6 janvier 1978 et de la directive européenne de 1995, afin de fixer les règles s’appliquant à l’utilisation de données à caractère personnel.

Une grande majorité des entreprises traite des données à caractère personnel sans forcément en avoir conscience, ne serait-ce qu’au travers de son fichier clients, de la gestion des RH, etc.

Une donnée à caractère personnel, qu’est-ce que c’est ? 

Contrairement à une idée répandue, cela ne se limite pas à des informations à caractère privé concernant une personne. C’est beaucoup plus large que cela. Il s’agit de « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. » (article 2 de la loi dite « Informatique et Libertés » du 6 janvier 1978).

C’est donc finalement toute information rattachable directement ou indirectement à une personne, à commencer par les coordonnées d’une personne, son CV, titres et fonctions, la plaque d’immatriculation d’un véhicule (puisqu’elle permet de remonter à son propriétaire), l’adresse IP d’un ordinateur (pour les mêmes raisons), les données bancaires bien évidemment, les images vidéos, les enregistrements vocaux…

Or, le simple fait d’utiliser ce type de données nous en rend responsable de par la loi.

Contrairement à une idée reçue, il ne suffit pas pour être en conformité d’avoir déclaré son traitement à la CNIL. La réglementation impose de nombreuses autres obligations, à commencer par la sécurité et la confidentialité des données, qui doivent être adaptées à la sensibilité des données et aux risques que leur utilisation fait courir quant au respect de la vie privée et la liberté des individus.

L’intégralité de ces obligations est sanctionnée, en cas de non- respect, par des sanctions pénales qui peuvent être prises à l’égard de l’entreprise et/ou de son dirigeant. 

Avec l’entrée en vigueur du RGPD, l’Europe a clairement démontré sa volonté d’amorcer une véritable prise de conscience, puisque ce nouveau règlement va porter les sanctions jusqu’à 20 millions d’euros ou 4 % du CAHT mondial groupe.

Je vous laisse faire le calcul si vous deviez appliquer ce pourcentage à votre entreprise…

Attention : je ne voudrais pas que l’attention généralement portée à cette fameuse date du 25 mai 2018 véhicule une image fausse de l’état du droit aujourd’hui.

Bien évidemment, l’essentiel des règles de protection des données à caractère personnel existent d’ores et déjà en droit français : c’est la Loi Informatique et Libertés, cette petite dame qui aura tout de même 40 ans l’année prochaine !

En outre, le législateur français a anticipé sur le RGPD en multipliant dès à présent les sanctions du non respect de la Loi Informatique et Libertés par 20, pour les porter de 150.000 euros à 3.000.000 d’euros (Loi pour une République Numérique du 7 octobre 2016).

En parallèle, la CNIL se dote progressivement de moyens humains et matériels afin d’augmenter ses contrôles.

D’une manière générale, la loi protège différentes catégories de données et impose à ce titre d’assurer leur confidentialité et leur sécurité. De même, les contrats que vous signez avec vos clients, fournisseurs et partenaires contiennent peut-être des obligations spécifiques de confidentialité.

Au final, le cadre juridique est à ce jour relativement fourni, sans que toutes les entreprises aient forcément conscience d’être concernées.

Rendez-vous, donc, la semaine prochaine pour les grandes lignes du RGPD !

Avocat et fondateur du cabinet Withlaw, basé à Rennes.

Le cabinet intervient au quotidien auprès des entreprises en droit des affaires et plus particulièrement dans les domaines suivants :

IP/IT | Data Protection | Privacy | Cybersécurité
Contrats | CGV | Marketing digital
Politiques RSE | Fondations d'entreprises | Mécénat

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.